什么是 CORS
CORS (Cross-Origin Resource Sharing) 是一种跨域资源共享的机制。所谓跨域请求是指向不同域名的服务器的请求。
跨域请求非常常见,例如一般的网站都会使用单独的静态文件服务器提供如图片、CSS 样式以及 JavaScript 脚本等静态文件资源,访问这些资源的请求一般都是跨域的。
不过处于安全性的考虑,现代浏览器都会对由前端脚本发起的跨域请求进行限制。CORS 机制是允许 Web 应用脚本进行跨域访问的一种机制。现代浏览器支持在 API 容器中(例如 XMLHttpRequest
或 Fetch
)使用 CORS,以降低跨域 HTTP 请求所带来的风险。
关于 CORS 的具体讲解可以参考阮一峰的博文:跨域资源共享 CORS 详解。
在 Express 上启用 CORS
注意,在生产环节中如果有前置的反向代理,如 Nginx 的存在,那么 CORS 的相关配置需要放置在 Nginx 上。如果需要对 CORS 进行非常详细的配置,可以放在后面的 Express 上。不过在 Nginx 上的 CORS 实现的效率会更高。
Express 上的 CORS 通过使用 cors
这个中间件来实现。
首先安装 cors
使用方法如下:
全局简单配置
为所有的请求启用 CORS
1 2 3 4 5 6 7 8 9 10 11 12 13
| var express = require('express') var cors = require('cors') var app = express()
app.use(cors())
app.get('/products/:id', function (req, res, next) { res.json({msg: 'This is CORS-enabled for all origins!'}) })
app.listen(80, function () { console.log('CORS-enabled web server listening on port 80') })
|
为某个单独的请求启用
1 2 3 4 5 6 7 8 9 10 11
| var express = require('express') var cors = require('cors') var app = express()
app.get('/products/:id', cors(), function (req, res, next) { res.json({msg: 'This is CORS-enabled for a Single Route'}) })
app.listen(80, function () { console.log('CORS-enabled web server listening on port 80') })
|
配置 CORS
下面是一个例子,配置了 CORS 只对特定的 Origin 有效
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
| var express = require('express') var cors = require('cors') var app = express()
var corsOptions = { origin: 'http://example.com', optionsSuccessStatus: 200 }
app.get('/products/:id', cors(corsOptions), function (req, res, next) { res.json({msg: 'This is CORS-enabled for only example.com.'}) })
app.listen(80, function () { console.log('CORS-enabled web server listening on port 80') })
|
更详细的配置方法参见 cors
的文档。